DOS-атака

12 3
A8
На сайте с 12.01.2020
Offline
34
2299

Всем привет.

Сайт находится на сервере digitalOcean. Сегодня пришло письмо.

Привет!


Мы пишем, чтобы сообщить вам, что ваша капля centos-s-1vcpu-3gb на была отключена от сети после того, как она внесла 103901,87 пакетов в секунду в распределенную атаку отказа в обслуживании на 103901,87 пакетов в секунду. Сетевой трафик от вашей капли соответствует шаблону вредоносного трафика, исходящего от других капель, нацеленных на конкретную жертву. Мы понимаем, насколько это может помешать вашей работе; однако для нас было крайне важно отключить вашу каплю, чтобы уменьшить дальнейший вред.

Ваш путь к разрешению проблемы будет зависеть от того, как вы используете centos-s-1vcpu-3gb-fra1-01, ваших технических знаний и / или времени, доступного для расследования.

Путь 1 - Если centos-s-1vcpu-3gb-fra1-не собирает и не содержит каких-либо данных, которые необходимо сохранить, мы предлагаем уничтожить эту каплю и начать заново. Это самый простой способ вернуться к работе. Обратите внимание, что вам по-прежнему будет выставлен счет за использование Droplet, даже если сеть отключена.

Путь 2 - Если centos-s-1vcpu-3gb-fra1 хранит данные, которые вам необходимо восстановить, пожалуйста, следуйте нашему контрольному списку восстановления на https://www.digitalocean.com/docs/droplets/resources/recovery-iso/ перед удалением эта капля и начинается заново.

Путь 3 - Если вы уверены в своих технических возможностях и хотите самостоятельно устранить, выявить и отсортировать проблему, у нас есть ресурс, доступный по адресу https://www.digitalocean.com/docs/droplets/resources/ddos /это включает в себя некоторые предложения.

Дайте нам знать, как только вы завершите свой путь решения проблемы, и мы предоставим все необходимые дальнейшие действия.



Подскажите, что можно сделать. Сайты не работают, на сервер тоже не могу зайти. Написала в службу поддержи, но пока тишина. Сменила все пароли и восстановила бекап сайта. Написала об этом в поддержку.

Что сделать посоветуйте?

How to Recover Data from Droplets with the Recovery ISO | DigitalOcean Product Documentation
How to Recover Data from Droplets with the Recovery ISO | DigitalOcean Product Documentation
  • www.digitalocean.com
You can SSH to the Droplet while it’s in recovery using the temporary password in the recovery menu. You'll need to use a screen, tmux, or byobu session. Your SSH keys do not work while the Droplet is in...
-S
На сайте с 10.12.2006
Offline
1355
#1
admin888 :

Что сделать посоветуйте?

Использовать Cloudflare или любой подобный сервис или нанять админа.

LevShliman
На сайте с 03.09.2018
Offline
180
#2
-= Serafim =- #:

Использовать Cloudflare или любой подобный сервис или нанять админа.

можно этот ddos-guard.net

От сюда хорошо видно, что Вы делаете на этом форуме http://www.fsb.ru
Евгений Крупченко
На сайте с 27.09.2003
Offline
178
#3
-= Serafim =- #:
Использовать Cloudflare или любой подобный сервис или нанять админа.

Только более внимательного, не такого как здешний модератор.

Хотя он же и сам своего рода админ... 888 😎

Отключили же за атаку не НА, а ОТ.

Т.е. взлом или бэкдор, через который вы стали участником атаки на кого-то. Что делать? Лучше контролировать что там у вас происходит. Сложно что-либо советовать без понимания что там у вас и как, но как минимум надо посмотреть продолжаются ли попытки слать те пакеты. Если да, то чем - что-то "левое" запущено или тупо скрипты/бэкдоры на сайте. Смотреть все логи и т.д... короче лучше пользоваться shared хостингом, раз такие вопросы по форумам спрашиваете.

S
На сайте с 26.02.2017
Offline
73
#4

admin888 :
Путь 1  Путь2 Путь 3

Скорее всего, вы имеете дело с зараженным шаблоном CentOS или программы Панель управления сервером.

Шаблон ОС вы берете у digitalOcean. Если он и заражен, то провайдер в этом ни когда не сознается и разбираться не будет.

Поэтому, первое что надо сделать, это сменить Панель управления сервером.

Ну и, Путь 4

Выберите другого провайдера. Предложений аренды VDS, море.

Mik Foxi
На сайте с 02.03.2011
Offline
1130
#5
скорее всего у вас сервер заражен и с него идут атаки. вам нужно нанять сисадмина который найдет дырку и почистит все.
Универсальный антибот, антиспам, веб файрвол, защита от накрутки поведенческих № 1 в рунете: https://antibot.cloud/
-S
На сайте с 10.12.2006
Offline
1355
#6
Евгений Крупченко #:
Только более внимательного, не такого как здешний модератор.

Молодец, сумничал так сумничал. 😀

kxk
На сайте с 30.01.2005
Offline
970
kxk
#7
Я бы советовал антиддос сервис ddosov.net
Ваш DEVOPS
Виктор Петров
На сайте с 05.01.2020
Offline
240
#8
kXk Our DevOPs #:
Я бы советовал антиддос сервис ddosov.net

Кому? Это ТС дидосит, не наоборот.

team-voice
На сайте с 07.11.2016
Offline
231
#9
kXk Our DevOPs #:
Я бы советовал антиддос сервис ddosov.net

ага,  они обычный домашний IP московский определяют как VPN/socks

https://c2n.me/4bruWTA.png


за то через VPN оперы-турбо  залетает только в путь.  Определитель от бога.
https://team-host.ru/ (https://team-host.ru/) Выделенные сервера в аренду с DDoS защитой и без неё.
rustelekom
На сайте с 20.04.2005
Offline
535
#10

admin888 :

Подскажите, что можно сделать. Сайты не работают, на сервер тоже не могу зайти. Написала в службу поддержи, но пока тишина. Сменила все пароли и восстановила бекап сайта. Написала об этом в поддержку.

Что сделать посоветуйте?

Вариант, который вам предложили в DigitalOcean  вполне разумный - текущий сервер оставить как есть для изучения того, как он был взломан, а тем временем создать новый сервер и на него развернуть ваши сайты из бэкапов. Сэкономите время на том, что не нужно будет ждать восстановления работы, а можно будет сразу запустить сайты. А старый сервер после изучения можно будет удалить - это вопрос одного, двух дней или даже нескольких часов.

Как найти почему и как сервер был взломан? Ну вот примерно как описано ниже.

На 99.9% один из ваших сайтов был взломан и на ваш сервер закачали скрипт для произведения атаки. 0.1% что украли или подобрали ваш пароль для доступа на сервер с правами администратора или даже суперпользователя (root). Но обычно после разбора выясняется взлом сайта - это куда проще и это автоматизированный процесс. Хакеры запускают автоматический процесс по поиску уязвимостей на сайте и при нахождении таковых запускается скрипт взлома. После получения доступа, жертва включается в сеть ботнета и используется в разных злокозненных целях хозяином этой сети.
 Так как сервер отключен от сети, по ssh или через панель вы до него добраться не сможете. Однако у вас есть наверняка консоль (обычно это VNC доступ) которая позволяет зайти на сервер даже при отключенном доступе к сети интернет. Зайдите на сервер через консоль (либо через панель управления DigitalOcean, либо с VNC клиента) и проверьте логи доступа к аккаунтам администратора сервера. Если с ними всё чисто и в логах показаны только ваши айпи адреса, можно перейти к проверке сайтов на взлом. Для начала можно прогнать файлы антивирусом, а также можно посмотреть какие файлы изменялись недавно. После нахождения вредоносных файлов, нужно будет проверить как они оказались у вас на сервере и затем удалить или переместить в не доступную из сети интернет папочку для дальнейшего изучения. Если обнаружатся старые версии движков сайтов, их шаблонов или плагинов - все их нужно будет запланировать к  обновлению на новом сервере. Затем сменить пароли для сайтов и их баз данных на новом сервере.

Виртуальный хостинг, виртуальные и выделенные серверы в Германии и РФ, регистрация доменов, выдача SSL сертификатов https://www.robovps.biz/
12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий